Guide de la chasse aux menaces

La chasse aux menaces est un élément important de tout programme de sécurité. Quelle que soit la qualité de la conception d'un outil de sécurité, nous devons partir du principe que ces outils et ces défenses sont imparfaits.

Les environnements professionnels sont en constante évolution, de nouveaux outils sont introduits, d'anciens outils sont supprimés, et ces changements de configuration sont effectués pour prendre en charge les changements, ce qui peut introduire de nouvelles vulnérabilités dans l'environnement.

Parmi les exemples récents, citons la vulnérabilité CVE-2020-5902 de F5 qui a affecté l'interface utilisateur de gestion du trafic (TMUI) de BIG-IP de F5 ; ce port ne devrait jamais être accessible au public et devrait exiger que les utilisateurs s'authentifient et se connectent d'abord de manière sécurisée au réseau local avant de pouvoir y accéder.

Sur Vectra AI, nous avons vu des cas où ce n'était pas le cas et où le TMUI a été accédé et exploité.

L'année 2020 a été marquée par une forte évolution du travail à distance en raison de la directive COVID-19, et les équipes opérationnelles ont dû faire des pieds et des mains pour y remédier :

1. soutenir ce nouvel environnement de travail
2. sécuriser les utilisateurs lorsqu'ils passent du bureau à la maison.

Soutenir ce type de changement, en particulier pour une entreprise qui n'est pas prête à le faire, introduit une multitude de maux de tête en matière de sécurité. Lors d'un tel changement, l'objectif principal de l'entreprise est de s'assurer que les opérations ne sont pas interrompues, ce qui laisse les équipes de sécurité avec moins d'influence sur la mise en œuvre et coincées dans le soutien d'une solution qui n'a pas été conçue avec la sécurité à l'esprit. Sans une supervision adéquate, les vulnérabilités peuvent être exposées et les attaquants en profiteront.

Il existe de nombreux exemples de l'importance de la chasse, et les deux que nous évoquons ci-dessous soulignent la nécessité des programmes de chasse.

Voyons comment les équipes de sécurité peuvent exploiter Vectra Detect et vos métadonnées réseau pour rechercher des comportements malveillants. En outre, bien que nous fassions référence à Vectra Recall dans ce document, les techniques décrites pour Vectra Recall peuvent facilement être mises en œuvre en utilisant les données de Vectra Stream.

Dans ce livre électronique, vous apprendrez :

Comment chasser les IOC (Indicateurs de Compromis)

Il est important de rester à l'écoute et de s'assurer que vous êtes au courant de tout nouveau compromis annoncé. Mais il est tout aussi important d'être en mesure d'agir sur les nouveaux indicateurs de compromission lorsque vous en entendez parler. Dans cette section, nous décrirons les IOC les plus courants, ce qu'ils peuvent indiquer, pourquoi vous devriez vous en préoccuper et comment vous pouvez rechercher ces IOC dans les métadonnées de votre réseau.

Catégories d'attaques dans la chaîne d'exécution (Killchain)

Nous décrivons les techniques d'attaque que vous pouvez rechercher dans vos métadonnées de réseau. Nous avons divisé ces techniques en fonction de l'étape décrite dans le cadre MITRE ATT&CK à laquelle elles se rapportent.

Comment automatiser la chasse aux menaces

Les techniques énumérées dans ce document sont censées constituer un échantillon représentatif des méthodes que vous pouvez utiliser pour détecter les menaces dans votre organisation. Elles constituent une couche de sécurité supplémentaire au-delà des détections avancées basées sur le comportement de Vectra AI, qui utilisent votre expertise du réseau pour obtenir des informations à partir des métadonnées réseau extrêmement précieuses que Vectra AI surveille dans votre organisation.